Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Verschlüsselungsverfahren

Ähnliche Präsentationen


Präsentation zum Thema: "Verschlüsselungsverfahren"—  Präsentation transkript:

1 Verschlüsselungsverfahren
Ausarbeitung im Rahmen der Vorlesung „E-Business“

2 Gliederung Einleitung Zeichenverschlüsselung Verschlüsselungsverfahren
Zusammenfassung Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

3 Gliederung Einleitung Definition Warum Definition: Kryptographie
Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

4 Einleitung Definition
Verschlüsselung nennt man den Vorgang, bei dem ein klar lesbarer Text oder auch Informationen anderer Art, wie Ton- oder Bildaufzeichnungen mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird . Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

5 Einleitung Warum? Bedrohungen durch Angreifer
abhören der Nachricht Bsp. Wirtschaftsspionage manipulieren, verzögern, abfangen oder einschleusen einer anderen Nachricht. Gegenmaßnahmen der Datensicherung Vertraulichkeit Verbindlichkeit und Verfügbarkeit Nichtabstreitbarkeit und Nachweisbarkeit. Sichere Nachrichtenübertragung • Durch das Versenden von Nachrichten über das Internet werden die alten, sicheren Verfahren durch zunächst unsichere ersetzt (Bsp. ) • Beispiele für etablierte sichere Übertragungsverfahren – Brief im verschlossenen bzw. Versiegelten Umschlag – Fax über eine direkte Wählverbindung Die neuen Informations- und Kommunikations- Medien fördern weltweite Kontakte und Geschäftsbeziehungen, die einen rechtlich abgesicherten und vertraulichen Austausch von Informationen und Dokumenten notwendige machen z.B. – Kunde und Händler sind nicht mehr persönlich miteinander bekannt , Gefahr falscher Identitäten (z.B. EBAY) – Persönlicher Kontakt z.B. zum Geschäftsabschluss ist wegen der oft großen Entfernungen oft nicht möglich Kommunikation mit Banken, Behörden und Verwaltungen und dergl.. erfordert ebenfalls hohe Sicherheit und Echtheit – Vertraulichkeit, Integrität, Verbindlichkeit Belege, (vertrauliche) Akten, Korrespondenz und andere vertrauliche Daten werden nicht mehr in abgeschlossenen Aktenschränken aufbewahrt, sondern auf weltweit vernetzten Rechnern gespeichert z.B. GMX Mediacenter Personen genutzt und meistens verbunden mit dem Internet – Oft unzureichende Abschirmung der Datenbereiche untereinander – Daten sind oft auf zentralen Servern abgelegt – Teamarbeit erfordert oft Zugriff für ganzeArbeitsgruppen Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

6 Einleitung Definition: Kryptographie Kryptographie als Teilgebiet der Kryptologie beschäftigt sich vor allem mit der Ver- und Entschlüsselung von Daten und wird im ECommerce insbesondere bei der Datenspeicherung und Datenübertragung eingesetzt und dient zur Erfüllung der Sicherheitsanforderung Vertraulichkeit, Integrität und Authentizität. Sie dient dabei insbesondere -Der Wahrung der Transaktionssicherheit in Bezug auf -Vertraulichkeit und Geheimhaltung -Integrität und Authenzität -Verbindlichkeit -Nachweisbarkeit -Der Fehlererkennung bzw. Rekonstruktion der Originaldaten -Der Datenkompression Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

7 Zeichenverschlüsselung
Durch Zeichenverschlüsselung werden die Zeichen eines Zeichenvorrats auf Zeichen eines anderen Zeichenvorrats abgebildet, und zwar so, dass der Informationsgehalt nach der Verschlüsselung ohne den Schlüssel nicht mehr rekonstruierbar ist. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

8 Verschlüsselungsverfahren
Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybride Verschlüsselung Digitale Fingerabdrücke bzw. Hashfunktionen (MD5, SHA) Digitale Signatur Zertifikate Implementierung im Browser SSL (Secure Socket Layer) Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

9 Verschlüsselungsverfahren
Die Verschlüsselungsverfahren lassen sich danach unterscheiden, wie ein Text verschlüsselt und wieder entschlüsselt werden kann. Welche Verfahren gibt es? 1. Symmetrische Verschlüsselung 2. Asymmetrische Verschlüsselung 3. PKI und Digitale Signatur Verschlüsselungen bilden den Grundbaustein derzeitiger Sicherheitslösungen im Internet. Durch die „freie“ Übertragung der Daten ist ein „Mithören“ prinzipiell für jeden Teilnehmer des Internets möglich. Der erste Ansatz besteht also darin, die ausgetauschten Informationen zu verschlüsseln. Hierfür existieren verschiedene Verfahren. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

10 Symmetrische Verschlüsslung
Symmetrische Verschlüsselungsverfahren verwenden zum chiffrieren und dechiffrieren der Daten ein- und denselben Schlüssel. Der Schlüssel des Senders wird ebenso vom Empfänger genutzt. Daraus ergibt sich das Problem, dass jeweils zwischen zwei Teilnehmern ein eigener Schlüssel vereinbart werden muss. Bei 500 Teilnehmern sind dies z.B Schlüssel (500 x 500 / 2 – sofern jeder mit jedem kommunizieren möchte), deren Verwaltung einen unglaublichen Aufwand darstellen würde. Die Verteilung der Schlüssel an die jeweiligen Kommunikationspartner müsste ebenso gesichert stattfinden, um einen Missbrauch auszuschließen (d. h. es besteht die Notwendigkeit eines sicheren Übertragungskanal Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

11 Asymmetrische Verschlüsselung
Die Asymmetrische Verschlüsselung dagegen arbeitet nach dem Prinzip eines öffentlichen und eines privaten Schlüssels (Sender und Empfänger verwenden verschiedene Schlüssel – asymmetrisch). Der öffentliche Schlüssel wird hierbei auf den Klartext angewandt, der private Schlüssel auf den chiffrierten Text. Der Sender verschlüsselt die zu sendenden Daten mittels des frei zugänglichen, zentral verwalteten öffentlichen Schlüssels. Der Empfänger, und auch wirklich nur der Empfänger (bzw. der Inhaber des privaten Schlüssels) kann den Text wieder entschlüsseln – mit Hilfe seines einmaligen privaten Schlüssels. Anwendung findet diese Verschlüsselungstechnik vor allem bei „Offline“-Datenübertragungen, wie z. B. das Lesen einer . Hauptgrund ist die relativ geringe Verschlüsselungsgeschwindigkeit sowie der Umstand, dass asymmetrische Verschlüsselungen das Datenvolumen der übertragenen Informationen vergrößern. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

12 Hybride Verschlüsselung
Hierbei wird im Public-Key-Verfahren ein symmetrischer Sitzungsschlüssel versendet. Dieser Sitzungsschlüssel besitzt nur Gültigkeit für die Dauer einer Sitzung oder eines anderen genau definierten Zeitraumes (Session Key). Der Sender generiert nach dem Zufallsprinzip einen zeitlich begrenzten symmetrischen Sitzungsschlüssel und chiffriert mit diesem die Nachricht (die zu übertragenden Daten). Anschließend wird der erstellte Sitzungsschlüssel durch den Public-Key des Empfänger ebenfalls asymmetrisch chiffriert. Im dritten Schritt werden sowohl die verschlüsselte Nachricht (Daten), als auch der chiffrierte Sitzungsschlüssel an den Empfänger übertragen. Die Wiederherstellung des Sitzungsschlüssels sowie der übertragenen Daten erfolgt dann durch den Empfänger in umgekehrter Reihenfolge. Die Vorteile dieses Verfahrens liegen klar in der Vermeidung des Datenvolumens durch Anwendung der symmetrischen Verschlüsselung für die Übertragung der eigentlichen Daten sowie der einfachen Handhabbarkeit durch den Einsatz der asymmetrischen Verschlüsselung im Vorfeld der Übertragung. Hybride Verschlüsselungen vereinen somit die Vorteile von symmetrischen und asymmetrischen Verschlüsselungsverfahren. Bekannte Verfahren die Hybridverschlüsselung einsetzen, sind PGP (Pretty Good Privacy) und SSL (Secure Socket Layer). Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

13 Digitale Fingerabdrücke bzw. Hashfunktionen (MD5, SHA)
Zusätzlich zu den beschriebenen Konzepten gibt es noch digitale Fingerabdrücke (= Hashfunktionen). Bei diesen nicht umkehrbaren Funktionen handelt es sich um Algorithmen, die aus einem Text eine Zahl generieren. Die Wahrscheinlichkeit, dass zwei Texte die gleiche Zahl ergeben (siehe auch Hash Collision Verfahren von MicroMint) ist bei diesen Algorithmen so gering, dass eine Fälschung eines zum Fingerabdruck gehörigen Textes praktisch ausgeschlossen werden kann. Da diese Funktionen sehr viel schneller sind als die Verschlüsselungsalgorithmen kommen sie dann zur Anwendung, wenn etwas nicht unbedingt geheimgehalten werden muss, aber trotzdem sichergestellt werden soll, dass keine Veränderungen vorgenommen wurden oder wenn die Zusammengehörigkeit bestimmter Daten überprüft werden muss. << Graphik>> Diese Prüfung wird mit einer sogenannte dualen Signatur vorgenommen. Bei dieser hat man zwei Texte. Von beiden wird der Fingerabdruck getrennt gebildet. Anschließend werden beide Fingerabdrücke verbunden und von diesen wird ein dritter Fingerabdruck gebildet und unterschrieben. Jetzt kann jeder der einen der beiden Texte, den Fingerabdruck des anderen und den gemeinsamen Fingerabdruck hat, zweifelsfrei feststellen, ob der Text wirklich zum Fingerabdruck gehört. Er bildet einfach den Fingerabdruck des Textes, hängt ihn an den vorhandenen Fingerabdruck und vergleicht das Ergebnis der darauf ausgeführten Funktion mit dem gemeinsamen Fingerabdruck. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

14 Was bedeutet Digitale Signatur ?
Digitale Signatur ist ein kryptografisches Verfahren, bei dem zu einer „Nachricht“ (d.h. zu beliebigen Daten) eine Zahl (die digitale Signatur) berechnet wird, deren Urheberschaft und Zugehörigkeit durch jeden geprüft werden kann. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

15 Arten von Signaturen Einfache digitale Signatur
"Fortgeschrittene" digitale Signatur Sichere digitale Signatur Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

16 Digitale Signatur Zur Absicherung des Hash-Wertes kommt an dieser Stelle das Public-Key- Verfahren in umgekehrter Reihenfolge zum Einsatz: Der Sender verschlüsselt den Hash-Wert mit seinem privaten Schlüssel. Jeder, der im Besitz des zugehörigen öffentlichen Schlüssels ist, kann den Hash-Wert der übertragenen Daten nach Erhalt überprüfen und damit die Integrität der Informationen kontrollieren. Somit ist sichergestellt, das die Nachricht auch vom Sender stammt, da nur dieser über den private Key verfügt. Diese Vorgehensweise wird als digitales Signieren bzw. digitale Unterschrift bezeichnet. Die Richtigkeit des Schlüssels und deren Zugehörigkeit zum Besitzer werden in Zertifikaten der Zertifizierungsstellen (CA) manifestiert. Diese bestätigen durch digitales Signieren die Angaben des Zertifikatbesitzers und somit auch der öffentlichen und privaten Schlüssel. Es wird hauptsächlich zur Signierung von ausführbarem Code (z.B. Java Applets, ActiveX, ActiveScripting, etc.) und rechtsverbindlichen Dokumenten (z.B. Preislisten, Produktbeschreibungskataloge, etc.) verwendet. Damit soll dem Anwender die Sicherheit gegeben werden, auch wirklich nur die Seite und die unverfälschten Informationen des gewünschten Ansprechpartners zu sehen bzw. dessen Applikationen / Anwendungen auszuführen. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

17 Ablauf beim Prüfen der Signatur
18 Ablauf beim Prüfen der Signatur Die Prüfung einer digitalen Signatur erfolgt mit Hilfe des entsprechenden öffentlichen Schlüssels, der Signatur und der Nachricht. Das Ergebnis der Prüfung zeigt an, ob die Signatur mit dem (zum öffentlichen Schlüssel korrespondierenden) privaten Schlüssel für diese Nachricht berechnet wurde. Somit lassen sich Fälschungen der Signatur, nachträgliche Verfälschungen der Nachricht und die Urheberschaft der Signatur prüfen. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

18 Sicherheit Es ist unmöglich, eine Signatur zu fälschen
19 Sicherheit Es ist unmöglich, eine Signatur zu fälschen Die Sicherheit eines digitalen Signaturverfahrens hängt in erster Linie von den gewählten Parametern ab. Die Sicherheit eines Signaturverfahrens hängt immer von der verwendeten Hash – Funktion ab. Es gibt oft effektive Angriffe auf bestimmte Implementierungen (theoretisch sicherer) digitaler Signaturverfahren. 1. Bei digitalen Signaturen soll es praktisch unmöglich sein, eine Signatur zu fälschen oder verfälschen, oder eine zweite Nachricht zu erzeugen, für die diese Signatur ebenfalls gültig ist. Dies impliziert unter anderem, dass sich der private Schlüssel nicht aus dem öffentlichen Schlüssel berechnen lässt. 2. Die Sicherheit eines digitalen Signaturverfahrens hängt in erster Linie von den gewählten Parametern ab, insbesondere müssen die Schlüssel eine Mindestlänge aufweisen um Angriffe abzuwehren. 3. Außerdem hängt die Sicherheit eines Signaturverfahrens immer auch von der verwendeten Hash-Funktion ab. Diese muss kollisionsresistent sein, um eine sichere digitale Signatur zu gewährleisten. 4. Außerdem gibt es oft effektive Angriffe auf bestimmte Implementierungen (theoretisch sicherer) digitaler Signaturverfahren, z. B. Seitenkanal-Angriffe oder das Ermitteln des privaten Schlüssels aus einer unzureichend geschützten persönlichen Sicherheitsumgebung . Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

19 Digitale Signatur Zusammenfassung
20 Digitale Signatur Zusammenfassung Kennzeichen : Die digitale Signatur einer Nachricht ist mit dem privaten Schlüssel des Senders verschlüsselt Sie stellt die Integrität der Nachricht und die Identität ihres Senders sicher. Eine Manipulation der Nachricht bei der Übermittlung wird zwar nicht verhindert, jedoch vom Empfänger zweifelsfrei erkannt. Die Nachricht kann weder vom Sender noch vom Empfänger nachträglich unerkannt manipuliert werden. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

20 Zertifikate Ein Zertifikat ist ein beglaubigtes Dokument, welches als
Informationssammlung zur Identität des Zertifikatsinhabers anzusehen ist. Es ist eine digitale Bescheinigung über die Zuordnung eines öffentlichen Schlüssels zu einer natürlichen Person bzw. Hardwareeinheit. Unterscheidung zwischen zentraler Zertifizierung (z. B. durch VeriSign) und dezentraler Zertifizierung (Zertifizierung unabhängig von zentralen CA‘s) Zertifikate werden üblicherweise zentral durch eine autorisierte Zertifizierungsstelle – auch als Certification Authority (CA) bezeichnet – ausgegeben. CA‘s sind hierarchisch organisiert und besitzen ebenfalls Schlüsselzertifikate. Um das Zertifikat eines Schlüsselinhabers zu validieren, muss ebenfalls das Zertifikat der ausstellenden CA geprüft werden. Dies ist von einer übergeordneten Zertifizierungsinstanz ausgestellt. An der Spitze dieser Hierarchie steht eine Wurzelinstanz oder Root-CA. Diese zertifiziert untergeordnete Zertifizierungsstellen, die damit eindeutig identifizierbar sind. Zertifikate bekannter CA‘s höherer Hierarchieebene sind standardmäßig in gängige Internet-Browser implementiert, so dass der Zertifizierungsweg eines Schlüssels automatisiert nachvollziehbar ist und eine spontane Kommunikation ermöglicht. Man spricht hier von zentraler Zertifizierung. Bei allen anderen Zertifikaten erscheint eine Sicherheitswarnung und das Zertifikat muss erst installiert werden. Ein Zertifikat kann, muss aber nicht zwangläufig einer zentralen Zertifizierungsstelle erzeugt werden. Hier spricht man von dezentraler Zertifizierung. Es ist aber anzuraten, eine bekannte Zertifizierungsstelle zu nutzen, da diese Zertifikate ein hohes Maß an Vertrauen in der breiten Masse der Nutzer genießen und Sicherheitswarnungen durch nicht im Browser implementierten Zertifikaten potentielle Kunden abschrecken könnten. Zertifikate bekannter Unternehmen wie beispielsweise VeriSign sind bereits im Internet Explorer implementiert. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

21 Zertifikat : Ablauf der Zertifizierung
21 Zertifikat : Ablauf der Zertifizierung Antragsphase : 1. Anfrage 2. Informationsgespräch und/oder Übergabe von Informationsmaterial (auf Wunsch des Kunden), Vereinbarungen zum Ablauf 3. formgebundener Antrag auf Zertifizierung oder Verifizierung (formlos bei Herstellerbericht) 4. Bestätigung des Antrags, Zusendung des Fragenkatalogs "Erstbeurteilung" 5. Vereinbarungen zum Ablauf Auditierungsphase: 1. Prüfung der eingereichten Unterlagen 2. Auswahl der Auditoren 3. auf Wunsch des Kunden Voraudit oder verfahrensbegleitendes Gespräch beim Kunden 4. Überprüfung des Qualitätssicherungssystems vor Ort 5. Auditbericht 6. Nachweis, dass ggf. festgestellte Mängel abgestellt worden sind Bewertungsphase: 1. Prüfung der Ergebnisse der Auditierungsphase im Zertifizierungsausschuss 2. Entscheidung und Ausfertigung der Zertifizierungsurkunde bzw. der Bestätigung über die erfolgte Verifizierung 3. Veröffentlichung in der Referenzliste Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

22 Bestandteile eines Zertifikats
22 Bestandteile eines Zertifikats Bestandteile eines Zertifikat : Der Name Informationen, wo das Zertifikat ausgestellt wurde Informationen, wann das Zertifikat ausgestellt wurde Informationen zur Gültigkeitsdauer des Zertifikates. Identitätsnummer der Zertifizierungsstelle Weitere Informationen zum Eigentümer des öffentlichen Schlüssels Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

23 Ausgewählte Zertifizierungsstellen
23 Ausgewählte Zertifizierungsstellen T–TeleSec Deutsche Telekom AG DFN Policy Certification Authority Deutsche Forschungsnetz e.V. TrustCenter TC Trust Center GmbH GlobalSignGlobalSign NV/SA GlobalSign NV/SA VeriSign VeriSign Inc. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

24 Implementierung im Browser
Beispiel für die Implementierung von Vertrauenswürdigen Stamm- Zertifizierungsstellen im Internet Explorer Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

25 Implementierung im Browser
Beispiel für eine Sicherheitswarnung eines nicht im Browser implementierten Zertifikats. In diesem Fall muss der Benutzer selbst entscheiden, ob er der Zertifizierungsstelle vertraut. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

26 SSL (Secure Socket Layer)
Dieses Übertragungsprotokoll wurde Ende 1994 von Netscape vorgestellt und kostenlos angeboten. Ziel von SSL ist es, den Anwendern möglichst einfach, ergonomisch und halbwegs verständlich die Möglichkeit zu geben, ihren Datenverkehr zu verschlüsseln. Es vereint die Verfahren zur hybriden Verschlüsselung, der digitalen Signatur sowie der Zertifikate in eigens definierten Protokollstrukturen und Prozeduren für den Austausch der notwendigen Schlüssel. Dabei erweitert SSL die Verbindungsstelle von TCP/IP und dem Verbindungsprotokoll (z. B. HTTP) um eine weitere Schicht. Zum Aufbau einer SSL-gesicherten Verbindung zwischen einem Client und einem Server. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

27 Secure Socket Layer (SSL) - Konzept
(1)Client teilt Server die unterstützten Verschlüsselungs- und Hashverfahren mit (2)Server bestätigt dies und überlässt Client die Auswahl (3)Server übermittelt Client das Zertifikat mit öffentlichem Server-Schlüssel (4)Client erzeugt zufälligen Sitzungsschlüssel (5)Client verschlüsselt mit dem Sitzungsschlüssel Testnachricht und verschlüsselt abschließend den Sitzungsschlüssel mit dem öffentlichen Serverschlüssel (6)Gesamtpaket wird an Server übermittelt (7)Server entschlüsselt mit dem privaten eigenen Schlüssel den Sitzungsschlüssel des Clients (8)mit dem dechiffrierten Sitzungsschlüssel wird der Nachrichtentext entschlüsselt (9)Fragen der Nachricht werden vom Server beantwortet und mit dem Sitzungsschlüssel chiffriert (10)Übertragung der beantworteten, verschlüsselten Nachricht an Client Erst im letzten Schritt beweist der Server seine Authentizität, da nur der Inhaber des originalen, zum Zertifikat passenden privaten Schlüssel den Sitzungsschlüssel und damit den Nachrichtentext dechiffrieren konnte. Somit verwendet SSL die aufwendigeren asymmetrischen Schlüssel nur für die Authentifizierung und die Übertragung des erzeugten Sitzungsschlüssels. Die eigentliche Kommunikation wird anschließend mit dem schnelleren und schlankeren symmetrischen Schlüsselverfahren realisiert. Angewandt wird diese Form der gesicherten Datenübertragung in sehr vielen Bereichen des ECommerce, wie z. B. beim Home-Banking, bei der Bezahlung im Internet sowie der Übertragung von personenbezogenen Daten. Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

28 Zusammenfassung Vertraulichkeit wird sichergestellt durch Verschlüsselung Integrität wird sichergestellt durch Signatur Identität wird sichergestellt durch Signatur Authentizität wird sichergestellt durch Signatur und Zertifikat Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce

29 Vielen Dank für Ihre Aufmerksamkeit
Bearbeitung: Alexander M., Torsten M., Johan K Fach: E-Commerce


Herunterladen ppt "Verschlüsselungsverfahren"

Ähnliche Präsentationen


Google-Anzeigen